介绍▸最近刷推特看到了一个洞，PHP<=7.4.21时通过php -S开起的WEB服务器存在源码泄露漏洞，可以将PHP文件作为静态文件直接输出源码，还蛮有意思的，这里大胆预测一波，最近在CTF里肯定会有人出这个点 查看原文详细分析：PHP Development Server <= 7 ...

前言▸我平时基本不单独发一些漏洞复现的文章，除非觉得很有学习意义。ImageMagick这个属于特例，因为还是蛮有影响的，包括我司的许多产品实际上都是使用ImageMagick作为底层能力，之前有出现过因为Ghostscript的RCE 0day导致使用了ImageMagick的业务可以被RCE，每 ...

Swig模板▸Swig是一款Node.JS的模板引擎 官方文档： https://myvin.github.io/swig.zh-CN/index.htmlGithub： https://github.com/node-swig/swig-templates 之前一段时间挖过swig模板，发现了一个 ...

前言▸自从2022.5入职字节无恒实验室以来，我一直从事SDLC相关工作，在SDLC中自动化安全能力卡点之一就是DAST（Dynamic Application Security Test），也是非常重要的用于实现安全左移的手段，我本人近两个月也在从事DAST产品的开发，目标自然也是希望能投入商用。 ...

前言▸作为一名果粉 & Mac忠实用户，本人于2022.3.18新购入Mac Studio，虽然前面也用MacBook但是没有数据迁移，而是直接作为了一台全新设备。所以决定写几篇文章记录我的MacOS的“装机”历程，分享一些好用的MacOS系统下的软件，也为后续再换电脑做一个备份。 持续更新 ...

2023.2更新▸根据HR同步的消息，新的一年HC已刷新，目前校招/社招都没有HC了，今年形式也不好，建议暂时苟住。什么时候又急招了我再放新的 团队介绍▸架构安全团队隶属字节跳动无恒实验室，无恒实验室负责字节跳动全球产品（TikTok、抖音、今日头条、西瓜视频、火山引擎、飞书、懂车帝、巨量引擎等）的 ...

CISP-PTE介绍▸CISP-PTE全称注册信息安全专业人员-渗透测试工程师，更高级的是PTS（渗透测试专家）。 证书持有人员主要从事信息安全技术领域网站渗透测试工作，具有规划测试方案编写项目测试计划、编写测试用例、测试报告的基本知识和能力。该注册考试是为了锻炼考生实际解决网络安全问题的能力，有 ...

前言 分析 题目分析 代码注入 执行函数 执行系统命令 Author: 颖奇L’Amore Blog: www.gem-love.com 前言▸题目来自于2022虎符CTF Final的readygo，给了源码 package mainimport ( eval &quo ...

前言 利用方式 伪协议读文件二次URL编码 打opcache缓存 包含pearcmd装马 靶机可以出网 靶机不能出网 绕过包含次数限制 include2shell compress.zlib生成临时文件 包含nginx临时文件 Author: 颖奇L’Amore Blog ...

前言 AlfredWorkflow初体验 使用方法 构造思路 代码 适配Alfred 后记 Author: 颖奇L’Amore Blog: www.gem-love.com 前言▸ 在Day1的『Go语言上手-基础语言』中，老师给了三个项目，其中一个是基于彩云翻译使用Go ...